中东政府及ISP遭到Eagerbee后门攻击
关键要点
中东政府机构和互联网服务提供商受到新型Eagerbee恶意软件框架变种的攻击。Eagerbee与CoughingDown威胁行动相关联。Eagerbee利用Microsoft Exchange的ProxyLogon漏洞(CVE202126855)进行渗透。攻击过程涉及多种插件以实现文件权限更改和命令行执行。强烈建议即时修复受影响的Exchange服务器。据BleepingComputer报道,中东地区的政府机构和互联网服务提供商ISP遭到了针对新型Eagerbee恶意软件框架变种的攻击,这些攻击可能与CoughingDown威胁行动有关。
Eagerbee的入侵最初是针对南亚组织,通过恶意利用Microsoft Exchange的ProxyLogon漏洞标记为CVE202126855进行的。根据Sophos研究人员的分析,攻击者交付了一个载荷文件加载注入器,该注入器在系统启动时执行,并开始利用主题、SessionEnv、MSDTC和IKEEXT等组件来实现内存后门的写入。在收集了操作系统信息、网络地址和其他详细信息后,Eagerbee创建了一个TCP/SSL通道,以便注入文件管理插件,以修改文件权限和管理卷标,以及注入进程管理、服务管理和网络管理插件,以实现命令行的执行。
免费加速器使用一小时以下是Eagerbee框架的攻击流程概览:
步骤说明1 利用漏洞通过ProxyLogon漏洞渗透2 注入载荷执行文件加载注入器3 收集信息获取OS信息、网络地址等4 创建通道使用TCP/SSL建立通讯通道5 插件注入注入管理插件以实现权限和执行管理研究人员建议,受ProxyLogon漏洞影响的Exchange服务器应立即进行修补,以防止进一步的安全风险。
